民法典审议：为了公共安全，艾滋病人的个人信息该不该保护

在数字时代，隐私和个人信息保护已作为专章写入民法典人格权编草案。4月21日，十三届全国人大常委会第十次会议分组审议了民法典人格权编草案（下称“草案”）。

有委员说，在实施医疗诊断、医学检查、针对重大传染病防控等涉及医患关系、公共安全等重大事项时，与无限保护隐私权和个人信息是有冲突的。

如果自然人被发现患有艾滋病不告诉其配偶，一旦配偶受了感染，这种责任该由谁承担？如果对包括艾滋病患者在内的恶性传染病患者，他在社会上的行为不能进行有效的规范，结果就必然是造成全社会的公共安全被侵犯。

审议中，委员们还认为，应该进一步扩大个人信息的保护范围，并加强对未成年人的信息保护，此外，还要加强预防和惩罚力度，让法律“长出牙齿”，从而让个人面对信息被侵害不再无力。

个人信息的范围该不该增加

目前，民法典人格权编草案列举的个人信息包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

全国人大常委会副委员长曹建明认为，目前草案对个人信息的保护范围过窄，他建议根据最高法、最高检相关司法解释、全国信息安全标准化技术委员会相关标准，对个人信息的范畴做进一步扩展。

比如，《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也列举了公民个人信息的范围，其中的“通信通讯联系方式、账号密码、财产状况、行踪轨迹等”都未出现在草案中。

（4月21日下午，十三届全国人大常委会第十次会议举行第二次全体会议。）

4月21日分组审议时，吕建委员认为，在大数据时代，个人信息除了传统的带有个人识别特征的信息外，还应该包括个人行踪信息、个人网络浏览信息等。否则，一方面，可能被他人作为商业资源利用；另一方面，也有可能暴露个人的生活偏好和隐私等。

张伯军委员说，自然人的个人信息还包括一些非常重要的内容，如自然人的基因信息、自然人的医疗健康信息、顾客信息以及乘客信息等，也应明确列举。

但也有不同声音。“用列举的方式给个人信息下定义是一个好的立法方式，但范围不应过大，比如个人网络浏览信息不会识别出一个人的身份，过分扩大个人信息的范围与互联网行业的发展是相悖而行的。”中国政法大学传播法研究中心副主任朱巍说。

“民法典调整平等主体间的权利、义务关系，这里对个人信息的保护，应该强调个人对其信息的控制力。对于哪些属于个人信息、哪些不属于个人信息，我觉得在民法典中是次要的，可以在专门的个人数据保护立法时予以解决。”朱巍告诉21世纪经济报道。

“‘个人数据保护’这个提法本身就意味着比传统的个人信息的提法范围更广，个人信息保护更偏向对隐私的保护，个人数据保护则更强调数据保护的边界，更符合互联网的发展方向。”朱巍认为。

加强未成年人信息保护

但有一类主体的个人信息保护在草案审议时被特意强调，即未成年人。

草案二审稿为加强未成年人个人信息保护，对收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的，增加规定应当征得其监护人同意，但是法律、行政法规另有规定的除外。

目前未成年人个人信息泄露情况已很紧迫。今年2月，短视频应用平台musical.ly（已被抖音国际版TikTok合并）因违反《美国在线儿童隐私保护法案》，非法收集和处理未满13岁儿童的个人信息，被美国联邦贸易委员会（FTC）调查后与其达成和解，和解金达570万美元。

谭耀宗委员说，对未成年人而言，他们正处于敏感冲动、心智尚未成熟的年龄，隐私、个人信息非常容易受到侵害，需要特别强化未成年人的网络权益的保护。例如对网络游戏有必要采取分级的措施，限制暴力等有害信息的产生。

全国人大代表、陕西律师协会副会长方燕向21世纪经济报道表示，她建议修改《未成年人保（601319.SH）护法》，她建议增加规定：父母或者其他监护人应保障未成年人的信息与通信权，通过信息过滤以及其他合理手段对未成年人使用诸如网络，电视等媒介的情况进行监管。不得纵容未成年人利用媒体终端接触网络不良信息，以免诱导未成年人实施犯罪行为或成为犯罪受害对象。

中国人民大学法学院教授杨立新表示，对无民事行为能力人或者限制民事行为能力人的个人信息保护，除了适用于未成年人外，还可以适用于一些辨别能力不足的老年人，“现实中部分老年人虽然是成年人，但因辨别能力下降而容易受骗，法律对此要求收集使用其个人信息要征得监护人同意。”

曹建明副委员长说，增加规定“征得该自然人或者其监护人同意”，不能规范实践中利用经营、服务等优势地位向不特定人收集与经营服务无关的个人信息这类不当行为，如各种APP软件要求加入者必须作出同意其阅读通讯录、短信、储存卡信息等，建议进一步作出限制性规定。

隐私保护遭遇公共安全

骚扰电话、垃圾短信，几乎成了每个城市居民生活中都曾遇到的骚扰源。

对此，草案规定“任何组织或者个人不得以短信、电话、即时通讯工具、传单、电子邮件等方式侵扰他人的生活安宁”。

“但是实际生活当中，它真能发挥作用吗？这样的规定是不是显得有些空泛，而且实际上根本无法通过这样命令性的规定来阻止侵权的发生？当我个人信息被侵扰之后，这样的规定怎样才能发挥作用？如果我以人格权侵权为由向法院提起诉讼，这样的规定真的能够帮助到我吗？我还是有些困惑。”王砚蒙委员说。

这样的诉讼并非不可能，但需要解决举证责任、救济力度等问题。郑功成委员说，要以案释法，通过法院判案把法律的正义信号发出去，一个案例就能使法律的立法原则、精神得到贯彻。

还有委员从其他角度提出了解决方案。草案二审稿增加规定：国家机关及其工作人员对于履行职责过程中知悉的自然人隐私、个人信息，应当予以保密，不得泄露或者非法向他人提供。

杜小光委员建议再增加规定：发生泄露或者非法向他人提供，单位及相关工作人员承担相应民事、甚至刑事责任。

李飞跃委员则认为，在信息社会，人格权都显得尤其脆弱，很容易受到侵犯，“事后”大多处于被动补救与消除影响上。他认为，应增加“事前”对数据的采集与汇聚进行规范的内容，并且规定清楚法律责任，建立大数据运用与监管平台，对公民个人信息和重要数据实行加密等安全保护。

对个人信息的保护还面临另一个问题，即个人权益与公共利益的冲突如何解决。吴恒委员说，在实施医疗诊断、医学检查、针对重大传染病防控等涉及医患关系、公共安全等重大事项时，与无限保护隐私权和个人信息是有冲突的。

草案确定了“信息收集人、持有人不得泄露、存储和提供相关的信息”，“收集、使用或者公开个人信息要征得自然人同意”等原则。但现实中，对隐私权和个人信息保护会面对一些极端情况：

如果自然人在处于没有知觉，没有行为能力，而又急需抢救，医生要采取各种手段获取患者身体信息；如果自然人被发现患有艾滋病不告诉其配偶，一旦配偶受了感染，这种责任该由谁承担。类似的恶性传染病还包括开放性的肺结核等。如果对包括艾滋病患者在内的恶性传染病患者，他在社会上的行为不能进行有效的规范，结果就必然是造成全社会的公共安全被侵犯。

“举这2个事例，我们在执法检查中也都看到了。因此，我认为对自然人的隐私的权利应用应有一定的规约，而不是无限的。所以建议增加2条：第1条是‘公民隐私权和个人信息保护不得对他人及社会造成危害’，第2条是‘为了维护公共安全，政府有关方面可以不受自然人隐私权及个人信息保护规定的约束’。”吴恒委员说。